ทำความเข้าใจ Active Directory (AD):คุณสมบัติหลักและคุณประโยชน์

โดย

• ราหุล อวาติ
• เวสลีย์ชัย
• Alexander S. Gillis นักเขียนและบรรณาธิการด้านเทคนิค

เผยแพร่:11 เมษายน 2025

Active Directory (AD) คือบริการไดเรกทอรีที่เป็นกรรมสิทธิ์ของ Microsoft ซึ่งช่วยให้ผู้ดูแลระบบเครือข่ายสามารถจัดการผู้ใช้ สิทธิ์ และการเข้าถึงทรัพยากรเครือข่ายได้ ทำงานบน Windows Server และจัดเก็บข้อมูลเกี่ยวกับออบเจ็กต์ เช่น ทรัพยากรเครือข่ายที่ใช้ร่วมกัน บนเครือข่ายองค์กรในรูปแบบลอจิคัลและเป็นลำดับชั้น ซึ่งช่วยให้ผู้ดูแลระบบสามารถจัดการทรัพยากรเหล่านั้นได้ เช่นเดียวกับผู้ใช้ที่ต้องการเข้าถึงทรัพยากรเหล่านั้นเพื่อทำงานให้สำเร็จ

จำเป็นต้องมีตัวควบคุมโดเมนเพื่อเรียกใช้บริการ AD ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่ใช้เวอร์ชันของระบบปฏิบัติการ Windows Server ที่ติดตั้ง Active Directory Domain Services (AD DS) ด้วยการติดตั้ง AD DS ผู้ดูแลระบบสามารถกำหนดค่าบทบาทเซิร์ฟเวอร์เฉพาะสำหรับคอมพิวเตอร์ได้ เช่น บทบาทของตัวควบคุมโดเมน

บทบาทของ Active Directory คืออะไร และใช้เพื่ออะไร

Active Directory เก็บข้อมูลเกี่ยวกับออบเจ็กต์ทั้งหมดบนเครือข่าย ออบเจ็กต์เป็นองค์ประกอบเดียว เช่น ผู้ใช้ กลุ่ม แอปพลิเคชัน หรืออุปกรณ์ที่ใช้ร่วมกัน เช่น เซิร์ฟเวอร์หรือเครื่องพิมพ์ โดยปกติแล้วออบเจ็กต์จะถูกกำหนดเป็นทรัพยากร เช่น เครื่องพิมพ์หรือคอมพิวเตอร์ หรือหลักการรักษาความปลอดภัย เช่น ผู้ใช้หรือกลุ่ม

Active Directory ใช้ชุดกฎที่เรียกว่าสคีมาเพื่อกำหนดคลาสอ็อบเจ็กต์และคุณลักษณะ สคีมายังกำหนดรูปแบบของชื่อของแต่ละออบเจ็กต์ด้วย AD ยังมีแค็ตตาล็อกส่วนกลางที่มีข้อมูลเกี่ยวกับออบเจ็กต์ทั้งหมด สคีมาและแค็ตตาล็อกส่วนกลางช่วยให้ผู้ดูแลระบบเครือข่ายระบุและจัดการออบเจ็กต์ได้ง่าย นอกจากนี้ ด้วยการจัดเก็บข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้บนเครือข่าย เช่น ชื่อและรหัสผ่าน AD ช่วยให้ผู้ใช้และผู้ดูแลระบบรายอื่นที่ได้รับอนุญาตในเครือข่ายนั้นสามารถเข้าถึงข้อมูลนี้ได้

AD ยังช่วยให้ผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันสามารถเผยแพร่และค้นหาวัตถุและคุณสมบัติของวัตถุได้ พวกเขาสามารถทำได้ผ่านกลไกการสืบค้นและดัชนีของ AD นอกจากนี้ AD ยังมีบริการการจำลองแบบที่มีสองบทบาท ช่วยให้แน่ใจว่าตัวควบคุมโดเมนทั้งหมดในเครือข่ายมีสำเนาที่สมบูรณ์ของข้อมูลไดเร็กทอรีทั้งหมดสำหรับโดเมนของพวกเขา และช่วยให้แน่ใจว่าการเปลี่ยนแปลงใดๆ ที่เกิดขึ้นกับข้อมูลในไดเร็กทอรีจะถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในโดเมน ด้วยการรักษาแบบจำลองของข้อมูลไดเร็กทอรีไว้บนตัวควบคุมโดเมนทั้งหมด บริการการจำลองแบบจะรับประกันความพร้อมใช้งานของไดเร็กทอรีและยังปรับประสิทธิภาพให้เหมาะสมสำหรับผู้ใช้ทุกคน

บริการโดเมน Active Directory คืออะไร

ใน Windows Server เวอร์ชันเก่า - Windows 2000 Server และ Windows Server 2003 - บริการไดเรกทอรีมีชื่อว่า Active Directory อย่างไรก็ตาม ตั้งแต่ Windows Server 2008 R2 และ Windows Server 2008 เป็นต้นไป Microsoft ได้เปลี่ยนชื่อบริการไดเรกทอรีเป็น Active Directory Domain Services

AD DS เก็บข้อมูลไดเร็กทอรี รวมถึงข้อมูลเกี่ยวกับบัญชีผู้ใช้ โดยดำเนินการโดยใช้ที่เก็บข้อมูลที่มีโครงสร้างที่เรียกว่าไดเร็กทอรี ไดเร็กทอรีนี้ช่วยให้ข้อมูลไดเร็กทอรีสามารถจัดระเบียบในรูปแบบตรรกะและลำดับชั้นได้ AD DS ยังทำให้ข้อมูลไดเร็กทอรีพร้อมใช้งานสำหรับผู้ใช้เครือข่ายและผู้ดูแลระบบที่ได้รับอนุญาต ช่วยให้พวกเขาสามารถเข้าถึงได้ตามต้องการ

เช่นเดียวกับ AD AD DS มีระบบการจำลองแบบที่สร้างและอัปเดตเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางซึ่งเป็นตัวควบคุมโดเมนโดยอัตโนมัติ แค็ตตาล็อกนี้จัดเก็บแบบจำลองแบบเต็มและเขียนได้ของออบเจ็กต์ทั้งหมดและคุณลักษณะในโดเมน ตลอดจนแบบจำลองบางส่วนแบบอ่านอย่างเดียวของโดเมนอื่น ๆ ทั้งหมดในฟอเรสต์ การจำลองแบบแอตทริบิวต์ดังกล่าวทำให้ผู้ใช้และผู้ดูแลระบบสามารถค้นหาออบเจ็กต์ใน AD DS ได้ง่าย

AD DS มอบความปลอดภัยผ่านการตรวจสอบสิทธิ์การลงชื่อเข้าใช้ในตัวและกลไกการควบคุมการเข้าถึง กลไกเหล่านี้ช่วยให้ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงทรัพยากรเครือข่ายและทำให้ผู้ดูแลระบบสามารถจัดการข้อมูลไดเรกทอรีและองค์กรทั่วทั้งเครือข่ายได้อย่างง่ายดายโดยใช้ชื่อผู้ใช้และรหัสผ่านเครือข่ายเดียว

เพื่อสนับสนุนผู้ดูแลระบบเครือข่ายเพิ่มเติม AD DS ให้การดูแลระบบตามนโยบาย ช่วยให้ผู้ดูแลระบบสามารถจัดการเครือข่ายที่ซับซ้อนได้อย่างง่ายดาย

โหมด Active Directory โปรโตคอล และบริการ

บริการต่างๆ มากมายประกอบขึ้นเป็น Active Directory บริการหลักคือบริการโดเมน แต่ Active Directory ยังมีบริการอื่นๆ ดังต่อไปนี้:

• บริการ Active Directory Lightweight Directory (AD LDS) เป็นโหมดอิสระของ AD ซึ่งหมายความว่าทำงานโดยอิสระจากโดเมน AD หรือฟอเรสต์ และสามารถติดตั้งได้โดยไม่ส่งผลกระทบต่อ AD ให้บริการไดเร็กทอรีสำหรับแอปพลิเคชัน รวมถึงการจัดเก็บข้อมูล และใช้ Application Programming Interfaces (API) มาตรฐานเพื่อเข้าถึงข้อมูลแอปพลิเคชัน อย่างไรก็ตาม ไม่รวมคุณลักษณะโครงสร้างพื้นฐานของ AD
• Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลบริการไดเรกทอรีที่ใช้ในการเข้าถึงและบำรุงรักษาไดเรกทอรีผ่านเครือข่าย ขึ้นอยู่กับโมเดลไคลเอ็นต์-เซิร์ฟเวอร์ LDAP จะทำงานบนเลเยอร์เหนือสแต็ก TCP/IP LDAP ไม่สามารถนำมาใช้เพื่อสร้างไดเร็กทอรีหรือระบุวิธีการทำงานของบริการไดเร็กทอรีได้ หน้าที่หลักคือช่วยในการจัดการไดเร็กทอรี
• บริการใบรับรอง Active Directory (AD CS) ใช้เพื่อสร้าง จัดการ และแบ่งปันใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ ใบรับรองใช้การเข้ารหัสเพื่อให้ผู้ใช้สามารถแลกเปลี่ยนข้อมูลผ่านอินเทอร์เน็ตได้อย่างปลอดภัยด้วยรหัสสาธารณะ ใบรับรองเหล่านี้ให้การรักษาความลับผ่านการเข้ารหัส ตรวจสอบความถูกต้องของคอมพิวเตอร์ ผู้ใช้ และบัญชีอุปกรณ์บนเครือข่าย และช่วยรักษาความสมบูรณ์ของเอกสารดิจิทัลผ่านลายเซ็นดิจิทัล
• บริการสหพันธรัฐ Active Directory (AD FS) ตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้ไปยังหลายแอปพลิเคชัน แม้ในเครือข่ายที่แตกต่างกัน โดยใช้การลงชื่อเพียงครั้งเดียว (SSO) ตามชื่อที่ระบุ SSO กำหนดให้ผู้ใช้ลงชื่อเข้าใช้เพียงครั้งเดียว แทนที่จะใช้คีย์การรับรองความถูกต้องเฉพาะหลายคีย์สำหรับแต่ละบริการ ด้วยการอนุญาตให้มีการแบ่งปันข้อมูลประจำตัวดิจิทัลและสิทธิ์ในการให้สิทธิ์อย่างปลอดภัยและขอบเขตขององค์กร AD FS จะช่วยปรับปรุงประสบการณ์ผู้ใช้เมื่อพวกเขาเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต
• บริการการจัดการสิทธิ์ Active Directory (AD RMS) ช่วยให้องค์กรสามารถปกป้องเอกสารของตนโดยใช้การจัดการสิทธิ์ในข้อมูล (IRM) ด้วย AD RMS พวกเขาสามารถสร้างนโยบาย IRM เพื่อระบุผู้ที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ จึงป้องกันการใช้หรือใช้ในทางที่ผิดโดยผู้ที่ไม่ได้รับอนุญาต

คุณสมบัติหลักของโมเดลเชิงตรรกะ AD และ AD DS

Active Directory Domain Services ใช้แบบจำลองเชิงตรรกะที่ประกอบด้วยฟอเรสต์ โดเมน และหน่วยองค์กร (OU) โมเดลนี้มีความสำคัญเนื่องจากมีวิธีการดังต่อไปนี้:

• จัดเก็บและจัดการข้อมูลเกี่ยวกับทรัพยากรเครือข่าย
• จัดเก็บและจัดการข้อมูลเฉพาะแอปพลิเคชันจากแอปพลิเคชันที่เปิดใช้งานไดเรกทอรี
• ช่วยให้ผู้ดูแลระบบสามารถจัดระเบียบผู้ใช้ คอมพิวเตอร์ อุปกรณ์ และองค์ประกอบอื่นๆ ของเครือข่ายให้เป็นโครงสร้างการควบคุมแบบลำดับชั้น

ออบเจ็กต์ที่แตกต่างกัน เช่น ผู้ใช้และอุปกรณ์ที่ใช้ฐานข้อมูลเดียวกัน จะอยู่บนโดเมนเดียวกัน ทรีคือโดเมนตั้งแต่หนึ่งโดเมนขึ้นไปที่จัดกลุ่มเข้าด้วยกันด้วยความสัมพันธ์ที่เชื่อถือได้แบบลำดับชั้น ป่าคือกลุ่มของต้นไม้หลายต้น ฟอเรสต์มีขอบเขตด้านความปลอดภัย ในขณะที่โดเมนซึ่งใช้ฐานข้อมูลร่วมกันสามารถจัดการการตั้งค่าต่างๆ เช่น การรับรองความถูกต้องและการเข้ารหัสได้ องค์ประกอบที่แตกต่างกันเหล่านี้มีฟังก์ชันดังต่อไปนี้:

• ฟอเรสต์เป็นคอนเทนเนอร์ระดับบนสุดใน AD DS มันหมายถึงกลุ่มของโดเมน AD หนึ่งโดเมนขึ้นไป โดยมีโครงสร้างเชิงตรรกะทั่วไปสำหรับโดเมนเหล่านั้น และเชื่อมโยงโดเมนเหล่านั้นกับความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาแบบสองทางโดยอัตโนมัติ ความสัมพันธ์เหล่านี้ทำให้ AD DS สามารถรักษาความปลอดภัยให้กับหลายโดเมนหรือฟอเรสต์ได้ นอกจากนี้ยังช่วยให้โดเมนสามารถขยายบริการการตรวจสอบสิทธิ์ไปยังผู้ใช้ในโดเมนนอกฟอเรสต์ของตนเองได้
• โดเมนคือคอนเทนเนอร์หรือพาร์ติชันภายในฟอเรสต์ โดยให้ข้อมูลระบุตัวตนผู้ใช้ทั่วทั้งเครือข่าย ดังนั้นจึงต้องสร้างข้อมูลระบุตัวตนผู้ใช้เพียงครั้งเดียว เมื่อเสร็จแล้ว จะสามารถอ้างอิงบนคอมพิวเตอร์เครื่องใดก็ได้ที่เชื่อมต่อกับฟอเรสต์ซึ่งมีโดเมนนั้นตั้งอยู่ โดเมนใช้ตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไปเพื่อจัดเก็บบัญชีผู้ใช้และข้อมูลรับรองผู้ใช้ ให้บริการตรวจสอบสิทธิ์สำหรับผู้ใช้ และควบคุมการเข้าถึงทรัพยากรเครือข่าย ตัวควบคุมโดเมนสำหรับโดเมนใดโดเมนหนึ่งมีสำเนาของไดเร็กทอรีสำหรับทั้งโดเมนที่โดเมนนั้นตั้งอยู่
• OU เป็นองค์ประกอบที่เล็กที่สุดของแบบจำลองเชิงตรรกะ AD DS OU สร้างลำดับชั้นของคอนเทนเนอร์ภายในโดเมน โดยทั่วไปผู้ดูแลระบบจะใช้ OU เพื่อทำให้งานการดูแลระบบง่ายขึ้น เช่น การใช้นโยบายกลุ่ม นอกจากนี้ OU ยังมีประโยชน์สำหรับการมอบอำนาจ ซึ่งอนุญาตให้เจ้าของถ่ายโอนการควบคุมด้านการดูแลระบบ - เต็มหรือแบบจำกัด - เหนือออบเจ็กต์ให้กับผู้ใช้หรือกลุ่มอื่น เพื่อลดความซับซ้อนในการจัดการออบเจ็กต์เหล่านั้น

โมเดลโดเมน-ฟอเรสต์-OU ของ AD DS นำไปใช้โดยไม่คำนึงถึงโทโพโลยีเครือข่ายและจำนวนตัวควบคุมโดเมนที่จำเป็นภายในแต่ละโดเมน

คุณสมบัติหลักของ AD และบริการโดเมน Active Directory

หนึ่งในคุณสมบัติหลักของ AD และ AD DS คือใช้ที่เก็บข้อมูลที่มีโครงสร้างและลำดับชั้นเพื่อจัดระเบียบและเผยแพร่ข้อมูลไดเร็กทอรีอย่างมีเหตุผล เช่น ข้อมูลเกี่ยวกับออบเจ็กต์ที่เก็บไว้ในไดเร็กทอรี AD DS วัตถุเหล่านี้อาจมีดังต่อไปนี้:

• ผู้ใช้
• กลุ่ม
• คอมพิวเตอร์
• โดเมน
• หน่วยงานของเรา
• นโยบายความปลอดภัย

สคีมาเป็นมาตรฐานใช้เพื่อกำหนดคลาสอ็อบเจ็กต์ คุณลักษณะ และชื่อ ตลอดจนข้อจำกัดและขีดจำกัดของอินสแตนซ์ของอ็อบเจ็กต์เหล่านี้ สคีมาเริ่มต้นใน AD ได้รับการจำลองตามชุดมาตรฐานขององค์การระหว่างประเทศเพื่อการมาตรฐาน X.500 สำหรับบริการไดเรกทอรี นอกจากนี้ยังสามารถขยายได้ ซึ่งหมายความว่าสามารถเพิ่มคลาสและคุณลักษณะลงไปและแก้ไขได้ตามต้องการ สคีมาโฆษณาถูกจัดเก็บไว้ในพาร์ติชันไดเร็กทอรีสคีมาและจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในฟอเรสต์

คุณลักษณะที่สำคัญอีกประการหนึ่งของ AD คือใช้พาร์ติชันไดเร็กทอรีสี่ประเภทเพื่อจัดเก็บและคัดลอกข้อมูลประเภทต่างๆ ในไฟล์ Ntds.dit บนตัวควบคุมโดเมนของโดเมน ผู้ใช้และผู้ดูแลระบบสามารถเข้าถึงข้อมูลนี้ทั่วทั้งโดเมน โดยทั่วไปพาร์ติชันไดเรกทอรีจะประกอบด้วยข้อมูลเกี่ยวกับโดเมน การกำหนดค่า สคีมา และแอปพลิเคชัน

AD และ AD DS มีกลไกการสืบค้นและดัชนี กลไกนี้ช่วยให้ผู้ใช้เครือข่ายหรือแอปพลิเคชันสามารถค้นหาวัตถุและคุณสมบัติที่จัดเก็บไว้ใน AD สุดท้าย บริการการจำลองแบบของ AD จะกระจายข้อมูลไดเร็กทอรีผ่านเครือข่าย AD มี Knowledge Consistency Checker ซึ่งจะสร้างการเชื่อมต่อการจำลองจากตัวควบคุมโดเมนต้นทางไปยังตัวควบคุมโดเมนปลายทางโดยอัตโนมัติ และสร้างโทโพโลยีการจำลองสำหรับฟอเรสต์ AD

คำศัพท์เฉพาะทาง

Active Directory อาศัยความไว้วางใจเพื่ออำนวยความสะดวกในการรับรองความถูกต้องและเพื่อให้การรักษาความปลอดภัยในหลายโดเมนหรือฟอเรสต์ ความสัมพันธ์ที่เชื่อถือได้เหล่านี้นำไปใช้กับทั้งโดเมนและฟอเรสต์ใน AD ความน่าเชื่อถือของ AD ทำงานอย่างถูกต้องก็ต่อเมื่อทรัพยากรทั้งหมดมีเส้นทางที่เชื่อถือได้โดยตรงไปยังตัวควบคุมโดเมนในโดเมนที่ตั้งอยู่ นอกจากนี้ เพื่อเปิดใช้งานการอำนวยความสะดวก Windows จะตรวจสอบว่าโดเมนที่ผู้ใช้หรือคอมพิวเตอร์ร้องขอนั้นมีความสัมพันธ์ที่เชื่อถือได้กับโดเมนของบัญชีที่ร้องขอหรือไม่

ข้อกำหนดที่เกี่ยวข้องกับความไว้วางใจที่สำคัญที่สุดที่ใช้ใน AD มีดังต่อไปนี้:

• ความน่าเชื่อถือแบบทางเดียวคือเมื่อโดเมนแรก (โดเมน A) อนุญาตให้ผู้ใช้มีสิทธิ์การเข้าถึงบนโดเมนที่สอง (โดเมน B) อย่างไรก็ตาม โดเมน B ไม่อนุญาตให้ผู้ใช้เข้าถึงโดเมน A พูดง่ายๆ ก็คือ มันเป็นเส้นทางการตรวจสอบสิทธิ์แบบทิศทางเดียวระหว่างโดเมน A และ B
• ความน่าเชื่อถือแบบสองทางคือเมื่อสองโดเมนเชื่อถือซึ่งกันและกัน ดังนั้น คำขอการรับรองความถูกต้องสามารถส่งผ่านระหว่างโดเมนเหล่านี้ได้ ซึ่งหมายความว่าแต่ละโดเมนจะเปิดใช้งานการเข้าถึงให้กับผู้ใช้ของโดเมนอื่น
• โดเมนที่เชื่อถือคือโดเมนเดียวที่ช่วยให้ผู้ใช้สามารถเข้าถึงโดเมนอื่น ซึ่งเรียกว่าโดเมนที่เชื่อถือ ฟอเรสต์ใช้ออบเจ็กต์โดเมนที่เชื่อถือได้เพื่อจัดเก็บเนมสเปซที่เชื่อถือได้ทั้งหมด เช่น ชื่อแผนผังโดเมน ส่วนต่อท้ายชื่อหลักของผู้ใช้ ส่วนต่อท้ายชื่อหลักของบริการ และเนมสเปซตัวระบุความปลอดภัยที่ใช้ในฟอเรสต์ของพันธมิตร
• ความไว้วางใจแบบสกรรมกริยาสามารถขยายเกินสองโดเมนและอนุญาตให้เข้าถึงโดเมนที่เชื่อถือได้อื่นๆ ภายในฟอเรสต์ ใน AD ความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยาแบบสองทางจะถูกสร้างขึ้นโดยอัตโนมัติระหว่างโดเมนใหม่และโดเมนหลักในฟอเรสต์
• ความน่าเชื่อถือแบบไม่โอนย้ายคือความน่าเชื่อถือแบบทางเดียวที่จำกัดอยู่เพียงสองโดเมน โดยทั่วไปจะใช้เพื่อปฏิเสธความสัมพันธ์ที่เชื่อถือได้กับโดเมนอื่น
• ฟอเรสต์ทรัสต์ให้การรับรองความถูกต้องและการอนุญาตที่ราบรื่นในฟอเรสต์ AD หลายแห่ง ซึ่งช่วยให้สามารถเข้าถึงทรัพยากรและอ็อบเจ็กต์อื่นๆ ในฟอเรสต์เหล่านั้นได้ อาจเป็นสกรรมกริยาทางเดียวหรือสองทางก็ได้

ประวัติและพัฒนาการของ Active Directory

Microsoft เสนอตัวอย่าง Active Directory ในปี 1999 และเปิดตัวในอีกหนึ่งปีต่อมาพร้อมกับ Windows 2000 Server Microsoft ยังคงพัฒนาคุณลักษณะใหม่ๆ อย่างต่อเนื่องใน Windows Server แต่ละรุ่นต่อเนื่องกัน

Windows Server 2003 มีการอัปเดตที่โดดเด่นในการเพิ่มฟอเรสต์และความสามารถในการแก้ไขและเปลี่ยนตำแหน่งของโดเมนภายในฟอเรสต์ โดเมนบน Windows 2000 Server ไม่สามารถรองรับการอัปเดต AD รุ่นใหม่ที่ทำงานใน Server 2003 ได้

Windows Server 2008 เปิดตัว AD FS นอกจากนี้ Microsoft เปลี่ยนชื่อไดเรกทอรีสำหรับการจัดการโดเมนเป็น AD DS และ AD กลายเป็นคำที่ครอบคลุมสำหรับบริการตามไดเรกทอรีที่สนับสนุน AD DS พร้อมใช้งานใน Windows Server เวอร์ชันล่าสุดทั้งหมด รวมถึง Windows Server 2016, Windows Server 2019, Windows Server 2022 และ Windows Server 2025

Windows Server 2016 อัปเดต AD DS เพื่อปรับปรุงความปลอดภัยของ AD และย้ายสภาพแวดล้อม AD ไปยังสภาพแวดล้อมคลาวด์หรือไฮบริดคลาวด์ การอัปเดตความปลอดภัยรวมถึงการเพิ่มการจัดการสิทธิ์การเข้าถึง PAM ติดตามการเข้าถึงออบเจ็กต์ ประเภทการเข้าถึงที่ได้รับ และการดำเนินการที่ผู้ใช้ทำ PAM เพิ่มป่า Bastion AD เพื่อมอบสภาพแวดล้อมป่าไม้ที่ปลอดภัยและโดดเดี่ยวเพิ่มเติม Windows Server 2016 สิ้นสุดการสนับสนุนอุปกรณ์บน Windows Server 2003

ในเดือนธันวาคม 2559 Microsoft ได้เปิดตัว Azure AD Connect ซึ่งปัจจุบันเรียกว่า Microsoft Entra Connect เพื่อเข้าร่วมระบบ Active Directory ภายในองค์กรด้วย Azure AD ซึ่งปัจจุบันเรียกว่า Microsoft Entra ID ด้วยการบูรณาการนี้ องค์กรต่างๆ สามารถเชื่อมต่อข้อมูลประจำตัวทั้งหมดและการควบคุมการเข้าถึงบนเครือข่ายท้องถิ่นของตนกับบริการคลาวด์ของ Microsoft เช่น Office 365 และเปิดใช้งาน SSO ที่ใช้งานง่ายสำหรับบริการเหล่านั้น Azure AD Connect ทำงานร่วมกับระบบที่ใช้ Windows Server 2008, Windows Server 2012, Windows Server 2016 และ Windows Server 2019 Azure AD Connect เวอร์ชัน 1.x ทั้งหมดจะยุติการให้บริการในวันที่ 31 สิงหาคม 2022

โดเมนกับกลุ่มงาน

เวิร์กกรุ๊ปเป็นคำศัพท์ของ Microsoft สำหรับเครื่อง Windows ที่เชื่อมต่อผ่านเครือข่ายเพียร์ทูเพียร์ (P2P) Workgroups เป็นอีกหน่วยหนึ่งขององค์กรสำหรับคอมพิวเตอร์ Windows ในเครือข่าย กลุ่มงานช่วยให้เครื่องเหล่านี้สามารถแบ่งปันไฟล์ การเข้าถึงอินเทอร์เน็ต เครื่องพิมพ์ และทรัพยากรอื่นๆ ผ่านเครือข่าย เครือข่าย P2P ขจัดความจำเป็นในการใช้เซิร์ฟเวอร์ในการตรวจสอบความถูกต้อง มีความแตกต่างหลายประการระหว่างโดเมนและกลุ่มงาน:

• โดเมนต่างจากเวิร์กกรุ๊ปตรงที่สามารถโฮสต์คอมพิวเตอร์จากเครือข่ายท้องถิ่นที่แตกต่างกันได้
• โดเมนสามารถใช้เพื่อโฮสต์คอมพิวเตอร์ได้มากกว่าเวิร์กกรุ๊ป โดเมนสามารถรวมคอมพิวเตอร์ได้หลายพันเครื่อง โดยทั่วไปกลุ่มงานจะมีขีดจำกัดบนที่เกือบ 20
• ในโดเมน เซิร์ฟเวอร์อย่างน้อยหนึ่งเครื่องคือคอมพิวเตอร์ ซึ่งใช้ในการควบคุมสิทธิ์และคุณลักษณะด้านความปลอดภัยสำหรับคอมพิวเตอร์ทุกเครื่องภายในโดเมน ในกลุ่มงาน ไม่มีเซิร์ฟเวอร์ และคอมพิวเตอร์ล้วนเป็นเพื่อนกัน
• ผู้ใช้โดเมนมักต้องการตัวระบุความปลอดภัย เช่น การเข้าสู่ระบบและรหัสผ่าน ซึ่งต่างจากกลุ่มงาน

คู่แข่งหลักของ Active Directory

บริการไดเร็กทอรีอื่นๆ ในตลาดที่มีฟังก์ชันการทำงานคล้ายกับ AD มีดังต่อไปนี้:

• Red Hat Directory Server เป็นไดเร็กทอรีที่ใช้ LDAP ซึ่งจัดการการเข้าถึงของผู้ใช้ไปยังหลายระบบในสภาพแวดล้อม Unix โดยจัดให้มีรีจิสทรีบนเครือข่ายเพื่อรวมศูนย์ข้อมูลประจำตัว และรวมถึง ID ผู้ใช้และการรับรองความถูกต้องตามใบรับรองเพื่อจำกัดการเข้าถึงข้อมูลในไดเร็กทอรี นอกจากนี้ยังให้การควบคุมการเข้าถึงไดเร็กทอรีอย่างละเอียดแบบรวมศูนย์และการปกป้องข้อมูลที่ได้รับการปรับปรุง แม้ว่าจำนวนระบบและผู้ใช้จะเพิ่มขึ้นก็ตาม
• Apache Directory เป็นโครงการโอเพ่นซอร์สที่ทำงานบน Java และทำงานบนเซิร์ฟเวอร์ LDAP ใดๆ รวมถึงระบบบน Windows, macOS และ Linux โดยจัดเตรียมเซิร์ฟเวอร์ไดเร็กทอรีที่สอดคล้องกับ LDAP v3 และเครื่องมือไดเร็กทอรีที่ใช้ Eclipse ชื่อ Apache Directory Studio นอกจากนี้ ซอฟต์แวร์ยังมี Apache Directory LDAP API ที่ให้วิธีที่สะดวกในการเข้าถึงเซิร์ฟเวอร์ LDAP ทุกประเภท
• OpenLDAP เป็นอีกหนึ่งทางเลือกโอเพ่นซอร์สสำหรับ AD โดยเฉพาะอย่างยิ่ง เป็นการนำ LDAP ไปใช้แบบโอเพ่นซอร์ส โดยมีโมดูลต่างๆ เช่น daemon โหลดบาลานเซอร์ LDAP แบบสแตนด์อโลน ดีมอน LDAP แบบสแตนด์อโลน (เซิร์ฟเวอร์); และไลบรารี เครื่องมือ และไคลเอ็นต์ตัวอย่างต่างๆ เพื่อใช้ LDAP

ฝ่ายไอทีต้องจัดการนโยบายกลุ่มต่างๆ สำหรับเดสก์ท็อปอย่างระมัดระวังเพื่อให้แน่ใจว่ามีการนำนโยบายที่ถูกต้องไปใช้ เรียนรู้เมื่อนโยบายกลุ่มที่เข้าร่วมโดเมน AD แทนที่ภายในเครื่อง

อ่านต่อเกี่ยวกับ Active Directory (AD) คืออะไร?

• วิธีใช้การซิงโครไนซ์ Azure AD Connect สำหรับ IAM แบบไฮบริด

• การใช้ Microsoft AD Explorer สำหรับงานผู้ดูแลระบบทั่วไป

• วิธีเปิดใช้งานนโยบายรหัสผ่านแบบละเอียดของ Active Directory

• วิธีตั้งค่าตัวควบคุมโดเมน Windows Server 2022

• ฟีเจอร์ Active Directory ใหม่ที่จะมาใน Windows Server 2025

เจาะลึกเกี่ยวกับข้อมูลประจำตัวของ Microsoft และการจัดการการเข้าถึง

• 

  วางแผนการย้ายตัวควบคุมโดเมนของคุณไปยัง Windows Server 2025

  

  โดย:ไบรอัน โพซีย์

• 

  โดเมน Active Directory (โดเมน AD) คืออะไร

  

  โดย:ราหุล อวาตี

• 

  โหมดการคืนค่าบริการไดเรกทอรี (DSRM)

  

  โดย:ราหุล อวาตี

• 

  ระดับการทำงานของ Active Directory

  

  โดย:สตีเฟน บิเกโลว์